T>/^ i r' WELTORGANISATION FOR GEISTIGES EIGENTUM 

X A Internationales BUro 

INTERNATIONALE ANMELDUNG VEROFFENTLICHT NACH DEM VERTRAG UBER DIE 

INTERNATIONALE ZUSAMMEN ARBEIT AUF DEM GEBIET PES PATENTWESENS (PCT) 



(51) Internationale Patentklassifikation 7 : 

G06F 11/34, 13/42 



Al 



(11) Internationale Veroffentlichungsnummer: WO 00/52579 



(43) Internationales 

Veroffcntlichungsdatum: 



8. September 2000 (08.09.00) 



(21) Internationales Aktenzeichen: PCT/DE00/00432 

(22) Internationales Anmeldedatum: 15. Februar 2000 (15.02.00) 



(30) Prioritatsdaten: 
199 09 091.2 



2. Marz 1999(02.03.99) 



DE 



(71) Anmelder (fiiralle Besiimmungsstaaten ausser US): SIEMENS 
AKTIENGESELLSCHAFT [DE/DE]; Wittelsbacherplatz 2, 
D-80333 MQnchen (DE). 

(72) Erfinder; und 

(75) Erfinder/Anmelder (nur fiir US)'. GRIEPENTROG, Gerd 
[DE/DE]; Ahornweg 4 P D-91058 Erlangen (DE). WIESG- 
ICKL, Bernhard [DE/DE]; An der Vils 20, D-92249 Vilseck 
(DE). 

(74) Gemcinsamer Vertreter: SIEMENS AKTIENGE- 

SELLSCHAFT; Postfach 22 16 34, D-80506 Mtlnchen 
(DE). 



(81) Bestimmungsstaaten: JP, US, europaisches Patent (AT, BE, 
CH, CY, DE, DK, ES, FI, FR. GB, GR, IE, IT, LU ? MC, 
NL, PT, SE). 



VerofFentlicht 

Mit internationalcm Recherchenbericht. 

Vor Ablauf der JUr Anderungen der Anspriiche zugelassenen 

Frist; Veroffentlichung wird wiederholt falls Anderungen 

eintreffen. 



(54) Title: MONITORING UNIT FOR AN MPROVED DATA TRANSMISSION SECURITY IN THE MASTER SLAVE BUS SYSTEM 

(54) Bezeichnung: tJBERWACHUNGSEINHEIT FOR VERBESSERTE DATENtJBERTR AGUNGSSICHERHEIT IM MASTER SLAVE 

BUSSYSTEM 

0 



Ma 



2 



0 0 0 



SI 



SI 



SI 



(57) Abstract 

The invention relates to a bus system with a master (Ma) and several slaves (SI) which are linked by a bus line (1). Between said 
master (Ma) and said slaves (SI) at least one repeater (2) is inserted. According to the invention, a monitoring unit (U) is connected to the 
bus line (1) which detects and evaluates the reaction times between sending a master call (M) and the receipt of a slave response (S). 

(57) Zusammenfassung 

GemaB der Erfindung wird bei einem Bussystem mit einem Master (Ma) und mit mehreren Slaves (SI), die durch eine Busleitung 
(1) miteinander verbunden sind, wobei zwischen dem Master (Ma) und den Slaves (SI) mindestens ein Repeater (2) zwischengeschaltet 1st, 
eine Oberwachungseinheit (0) an die Busleitung (1) angeschlossen, die die Reaktionszeiten zwischen dem Aussenden eines Masteraufrufs 
(M) und den Empfang einer Slaveantwort (S) erfaBt und auswertet. 
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Beschreibung 

QBERWACHUNGSEINHEIT FOR verbesserte datenObertragungssicherheit im master slave 

BUSSYSTEM 

5 Die Erf indung bezieht sich auf ein Bussystem mit einem Master 
und mehreren Slaves, die durch eine Busleitung miteinander 
verbunden sind, wobei zwischen dem Master und den Slaves min- 
destens ein Repeater zwischengeschaltet ist und der Datenaus- 
tausch zwischen dem Master und den Slaves als Nachricht aus 
10 einem Masterauf ruf , gefolgt von einer Masterpause, und einer 
Slaveantwort; gefolgt von einer Slavepause, besteht, wobei 
die Mastertelegramme nach vorbestimmten Regeln aufgebaut 
sind, an denen die Slaves einen Masterauf ruf erkennen. 

15 Ein gattungsgema&es Bussystem ist der DE 198 15 150 Al zu 
entnehmen. Bei diesem Bussystem besitzen die Slaves bzw. 
Teilnehmer neben ihrer Adresse sich zyklisch verandernde Zu- 
satzadressen, die jeweils im Slave und in der Uberwachungs- 
einheit abgespeichert sind. Insbesondere wird hier auf ein 

20 Bussystem abgehoben, bei dem bei fehlerfreiem Datenverkehr 
innerhalb des Bussys terns die Antwort eines Slaves auf einen 
Masterauf ruf mit einer definierten Verzogerungszeit erfolgt. 
Bei einem fehlerhaften Masterauf ruf , den die Slaves als unzu- 
lassig erkennen, antworten die Slaves auf diesen Masteraufruf 

25 nicht. Die Slaves wechseln daraufhin in einen asynchronen 
Betriebszustand. 

Folgt darauf ein korrekter Masteraufruf, so antwortet der an- 
gesprochene Slave mit einer erhohten Verzogerungszeit. Dieser 

30 Umstand wird vorteilhaft zur Funktionsuberpruf ung der Schal- 
tungslogik der einzelnen Slaves ausgenutzt. Hierzu wird in 
vorgegebenen Zeitabstanden vom Master gezielt ein defekter 
Masteraufruf ausgesendet. Aufgrund des fehlerhaften Master- 
aufrufs wechseln die Slaves in den asynchronen Betriebszu- 

35 stand. Darauf folgt ein korrekter Masteraufruf, mit welchem 
ein Slave angesprochen wird. Wird die verlangerte Verzoge- 
rungszeit der Slaveantwort des betreffenden Slaves im Master 
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und in der Auswerteeinheit regis triert, so ist das ein Nach- 
weis dafiir, dafi die Schaltungslogik des Schnittstellenbau- 
steins des betreffenden Slaves korrekt arbeitet. 

Neben diesen systembedingten Fehlern gibt es aber auch durch 
Storimpulse verursachte unsichere Systemzustande, die nach 
Moglichkeit zu vermeiden sind. 

Daher liegt der Erfindung die Aufgabe zugrunde, bei einem 
Bussystem der oben genannten Art die Sicherheit der Daten- 
libertragung gegenttber Storungen iibertragener Signale auf ein- 
fache Weise zu erhohen. 

Die Aufgabe wird dadurch gelost, da& an die Busleitung zwi- 
schen dem Master und dem Repeater eine Uberwachungseinheit 
angeschlossen ist, die die Reaktionszeiten zwischen dem Aus- 
senden eines Masterauf ruf s und dem Empfang einer Slaveantwort 
fur die Slaves erfa&t und auswertet. 

Vorteilhafte Weiterbildungen der Erfindung sind den Unteran- 
spriichen zu entnehmen . 

Ein Ausfuhrungsbeispiel der Erfindung wird im folgenden an- 
hand einer Zeichnung naher erlautert. Es zeigen: 

FIG 1 ein erf indungsgemaSes Bussystem mit Uberwachungsein- 
heit, 

FIG 2 die zum Datenaustausch verwendete Telegrammabf olge, 
FIG 3 ein durch Storimpulse verfalschtes Mastertelegramm 
und 

FIG 4 ein Diagramm mit der Wahrscheinlichkeit einer be- 

stimmten Anzahl von Storimpulsen in Abhangigkeit von 
der Impulsf ehlerwahrscheinlichkeit . 

FIG 1 zeigt das erf indungsgemaSe Bussystem, bei dem das an 
sich bekannte Master-Slave-Prinzip verwendet wird. Das Bus- 
system umfa£t einen Master Ma, der liber eine Busleitung 1 mit 
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mehreren Teilnehmern bzw. Slaves SI verbunden ist, wobei, wie 
im vorliegenden Fall, bei grofceren Ubertragungsl&ngen ein 
Repeater 2 zwischengeschaltet sein kann. An die Busleitung 1 
ist vorzugsweise in unmittelbarer Nahe des Masters Ma eine 
Uberwachungseinheit U angeschlossen, die Storungen der Daten- 
\ibertragung zwischen dem Master Ma und den Slaves SI bzw. 
Teilnehmern unter Auswertung von Reaktionszeiten erfa£t und 
meldet . 

Die vorliegende Erfindung ist im Zusammenhang mit der Verbes- 
serung der Dateniibertragungssicherheit des unter der Bezeich- 
nung Aktuator-Sensor-Interf ace bekannten Bussystems entstan- 
den, obwohl sie fur andere Bussysteme mit ahnlichem Verlialten 
ebenso geeignet ist. Zum Verstandnis der Erfindung wird zu- 
nachst im folgenden die Problematik beim Aktuator-Sensor- 
Interf ace erlautert. 

Durch elektromagnetische und leitungsgebundene Storungen kann 
die Kommunikation des Aktuator-Sensor-Interf aces trotz um- 
fangreicher Fehlererkennungsmechanismen derart gestort wer- 
den, date ein vom Master Ma angesprochener Slave Si bzw. Teil- 
nehmer ein den Regeln des Aktuator-Sensor-Interf aces entspre- 
chendes und damit giiltiges, aber logisch verfalschtes Master- 
telegramm M dekodiert und hierauf falsch reagiert . Zum Bei- 
spiel konnte ein Steuerbefehl derart mi&verstanden werden, 
daft der Slave SI einen Befehl zum Setzen von Ausgangen deko- 
diert. Die Wahrscheinlichkeit , mit der ein solcher fur die 
Anlagensicherheit kritischer Fall eintritt, wird als Restfeh- 
lerwahrsclieinlichkeit bezeichnet. Diese Restf ehlerwahrschein- 
lichkeit ist von der Moglichkeit der Storbeeinf lussung des 
Datenaustauschs zwischen dem Master Ma und den Slaves SI ab- 
hangig. Der Datenaustausch zwischen Master Ma und Slave SI 
als Nachricht besteht aus einem Masteraufruf M, gefolgt von 
einer Masterpause MP, und einer Slaveantwort S, gefolgt von 
einer Slavepause SP (siehe FIG 2) . 
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Beim Aktuator- Sensor- Interface sind die Ubertragungswege und 
damit die Ubertragungszeiten der Telegramme vernachl&ssigbar 
kurz, so daS im ungestorten Fall das vom Master Ma abgesandte 
Mastertelegrairan M mit vernachlassigbarer Verzogerung beim 
Slave SI erscheint, der daraufhin nach einer Masterpause MP 
seine Slaveantwort S sendet, die wiederum mit vernachlassig- 
barer Verzogerung beim Master Ma erscheint. Der Master Ma 
sendet daraufhin nach einer Slavepause SP sein nachstes 
Mastertelegrairan M, urn einen anderen Slave Si anzusprechen . Da 
die Telegramme aus stets gleicher Anzahl von Impulsen kon- 
stanter Impulszeit gleich 3 us aufgebaut sind, ergibt sich 
fur alle Teilnehmer Si dieselbe Reaktionszeit vom Beginn ei- 
nes Mastertelegramms M bis zum Beginn der Slaveantwort S. Bei 
ausgedehnten Bussystemen oder bei zwischengeschalteten 
Repeatern 2 kann die Ubertragungszeit nicht mehr vernachlas- 
sigt werden. Sie beeinfluSt die Reaktionszeit wie beispiels- 
weise in FIG 2 dargestellt. Es ergeben sich Verzogerungszei- 
ten, so da£ das zum Zeitpunkt t 0 vom Master Ma abgesandte 
Mastertelegrairan M erst im Zeitpunkt t x beim Slave Si auftritt 
und dessen zum Zeitpunkt t 2 abgesandte Slaveantwort S erst 
zum Zeitpunkt t 3 beim Master Ma eintrifft. Eine in der Nahe 
des Masters Ma an der Busleitung 1 installierte Uberwa- 
chungseinheit 0 wurde die Telegramme mit vernachlassigbarer 
Verzogerung mit dem Master Ma erfassen. Der Empf anger Si be- 
sitzt allerdings keine apriori Information iiber den genauen 
Zeitpunkt des Beginns einer Nachricht. Er erkennt den Beginn 
der Nachricht an einem ersten negativen Impuls nach einer 
Kommunikationspause auf der Busleitung 1. 

In FIG 3 ist im oberen Teil ein vom Master Ma gesendetes Ma- 
stertelegrairan M dargestellt, dem eine Slavepause SP vorangeht 
und eine Masterpause MP f olgt . Im unteren Teil der FIG 3 ist 
das vom Slave Si empfangene Mastertelegrairan M dargestellt. 
Das Mastertelegrairan M ist generell aus folgenden Bits aufge- 
baut : 
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Startbit ST: 
= 0: 
= 1: 

Steuerbit SB: 

Adresse AO. . .A4 
Information 10. 
Paritatsbit PB: 

Endebit EB: 
= 0: 
= 1: 



markiert den Beginn eines Masterauf ruf s 
giiltiges Startbit 
nicht erlaubt 

kennzeichnet den Daten/ Parameter /Adrefc- 
aufruf bzw. Kommandoauf ruf 
Adresse des aufgerufenen Slaves (5 Bit) 
.14: funf Inf ormationsbits 

Paritatsbit, die Suirane aller "1" im 
Masterauf ruf muE gerade sein. 
markiert das Ende des Masterauf ruf s 
nicht erlaubt 
gtiltiges Endebit 



Unter den Bits des Masterauf ruf s M sind in FIG 3 die Abbil- 
15 dung in Impulse und das daraus abgeleitete \iber die Buslei- 
tung ubertragene Signal dargestellt. 



20 



30 



35 



Das Mastertelegramm M ist gemafe FIG 3 nach folgenden Regeln 
zur Fehlererkennung auf gebaut : 



S t artbi t f ehler : 



2 5 Al ternierungs f ehler 



Pausenf ehler : 



Inf ormationsf ehler : 



Paritatsf ehler 



Endebit f ehler : 



Das erste Bit ist eine "Null" bzw. der 
erste Impuls muS negativ sein, vorher 
darf zwei Impulszeiten kein Impuls 
iibertragen werden, 

Auf einanderf olgende Impulse miissen 
unterschiedliche Polaritat haben, 
Die Pausenzeit darf nicht grower als 
eine Impulszeit (= 3 sein bzw. es 

diirfen keine zwei Pausen aufeinander 
f olgen, 

In der zweiten Bithalbzeit muS ein 
aktiver Impuls (positiv oder negativ) 
vorhanden sein, 

Die Paritat aller Bits bis einschlieS- 
lich Paritatsbit mu& gerade sein, 
Das Endebit ist 1 bzw. der letzte Im- 
puls hat positive Polaritat und 
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Aufruf langenfehler : Nach dem letzten Impuls darf fttr eine 

Bitzeit im synchronen Modus oder drei 
Bitzeiten im asynchronen Modus kein 
Impuls erkannt werden. 

5 

Durch elektromagnetische und leitungsgebundene Storungen kann 
das Mastertelegramm M derart verfalscht werden, da£ vor Be- 
ginn des eigentlichen Mastertelegramms M zwei Impulse veran- 
dert und hierdurch die Slavepause SP der vorangehenden Slave- 

10 antwort S verkurzt wird und am Ende des Mastertelegramms M 
ein Impuls geloscht wird und somit eine valides Mastertele- 
gramm M erzeugt wird. Die beiden Storimpulse treten im Sig- 
nalverlauf fur das Startbit ST und das Steuerbit SB auf. Die 
veranderten Impulse sind durch Pfeil 3 gekennzeichnet . Dieser 

15 Fehler kann wahrend des meist vorhandenen synchronen Slave- 
modus, der nur eine Masterpause bis zu einer Bitzeit iiber- 
wacht, sowie bei Verwendung von Repeatern im Bussystem, wel- 
che die Slavepause SP der vorangehenden Slaves SI verlangern, 
auf treten . 

20 

Wegen der zeitlichen Verlagerung des Telegramms, die fast 
ausnahmslos vier Impulszeiten bzw. 12 us betragt, wird dieser 
Fehler als Rahmenfehler bezeichnet. 

25 Aufgrund dieser Impuls- oder Bitf ehlerwahrscheinlichkeit als 
MaS fur die Storbeeinf lussung des Aktuator-Sensor- Interface 
ergibt sich trotz der erwahnten Fehlererkennungsregeln eine 
Restf ehlerwahrscheinlichkeit . 

30 Sind vier oder noch mehr Impulse gestort, kann das Masterte- 
legramm auch ohne zeitliche Verschiebung unerkannt gestort 
werden . 

Durch statistische Methoden ist nachweisbar, da£ die Verfal- 
3 5 schung von drei Impulsen bei Impuls fehlerwahrscheinlichkei ten 
im fur die Ubertragungstechnik des Aktuator-Sensor- Interface 
mit ungeschirmter Leitung zutreffenden Bereich bis ca. 10 
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deutlich wahrscheinlicher als die Verfalschung von vier Oder 
sogar noch mehr Impulsen. 

FIG 4 ist zu entnehmen, da£ durch Vermeidung von Rahmenfeh- 
lern und damit Fehlern, an denen nur drei gest6rte Impulse 
beteiligt sind, eine deutliche Reduzierung der Wahrschein- 
lichkeit P K erreicht werden kann. In FIG 4 ist die Wahr- 
scheinlichkeit P K fur die Falle angegeben, date k von 28 Im- 
pulsen entsprechend dem Mastertelegramm M gestort sind, wobei 
diese von der Impulsf ehlerwahrscheinlichkeit Pj abhangt . 

Zur Vermeidung solcher Rahmenfehler dient die vorzugsweise in 
raumlicher Nahe zum Master Ma an die Busleitung 1 angeschlos- 
sene Uberwachungseinheit t), die der Reaktionszeit zwischen 
Absendung des Mastertelegramms M und der resultierenden 
Slaveantwort S iiberwacht . 

Wegen des erwahnten determinierten Zeitverhaltens in der Da- 
tenkommunikation des Aktuator-Sensor-Interf ace wird im Nor- 
malfall, wenn keine Storung des Telegramms auftritt, die 
Reaktionszeit des Slaves SI konstant sein bzw. mit wenigen 
Mikrosekunden urn einen bestimmten Mittelwert schwanken. Die 
mittlere Reaktionszeit wird je nach Aktuator-Sensor-Inter- 
f ace-Topologie sowie Zeitverhalten des jeweiligen unter- 
schiedlich sein, so da£ fur jeden Slave eine eigene mittlere 
Reaktionszeit vorliegt . Ftilirt eine Storung zu einem Rahmen- 
fehler, dann erfolgt die Slaveantwort ca. 12 Mikrosekunden 
friiher als ublich, d.h. deutlich au&erhalb des sonst ublichen 
Streubandes . Die Erkennung eines Rahmenf ehlers erfolgt in der 
Uberwachungseinheit U durch die Detektion des Unterschreitens 
eines bestimmten Schwellwerts . 

Die Zeitf ens teruberwachung wird entweder direkt im Master Ma 
implementiert oder, wie oben erwahnt, in einer zusatzlichen 
Uberwachungseinheit U, die raumlich nah am Master Ma an der 
Busleitung 1 implementiert ist. 
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Patentanspruche 

1. Bussystem mit einem Master (Ma) und mehreren Slaves (Si), 
die durch eine Busleitung (1) miteinander verbunden sind, wo- 

5 bei zwischen dem Master (Ma) und den Slaves (SI) mindestens 
ein Repeater (2) zwischengeschaltet ist und der Datenaus- 
tausch zwischen dem Master (Ma) und den Slaves (SI) als Nach- 
richt aus einem Masteraufruf (M) , gef olgt von einer Master- 
pause (MP) , und einer Slaveantwort (S) , gef olgt von einer 

10 Slavepause (SP) besteht, wobei die Mastertelegramme (M) nach 
vorbestimmten Regeln aufgebaut sind, an denen die Slaves (Si) 
einen gilltigen Masteraufruf (M) erkennen, dadurch ge- 
kennzeichnet, da£ an die Busleitung (1) zwischen dem 
Master (Ma) und dem Repeater (2) eine Uberwachungseinheit (U) 

15 angeschlossen ist, die zur Uberwachung der Sicherheit des 

Datenaustauschs , d.h. dem Erkennen von infolge elektromagne- 
tischer oder leitungsgebundener Storimpulse verfalschten 
Masteraufruf en (M) dient, wozu die Uberwachungseinheit (U) 
die Reaktionszeiten zwischen dem Aussenden eines fehlerfreien 

20 Masteraufruf s (M) und dem Empfang einer Slaveantwort (S) fur 
die Slaves (SI) erfaSt und auswertet . 

2 . Bussystem nach Anspruch 1, dadurch gekenn- 
zeichnet, da& die Uberwachungseinheit (U) raumlich nah 

25 am Master (Ma) an die Busleitung (1) implementiert ist. 

3 . Bussystem nach Anspruch 1 oder 2, dadurch ge- 
kennzeichnet, da£ die Auswertung eine Mittelwertbildung 
aus den Reaktionszeiten fur jeden Slaves (Si) sowie die Er- 
30 mittlung der Abweichung einer Reaktionszeit eines Slaves (Si) 
vom Mittelwert umfaSt und ein Unter- bzw. Uberschreiten eines 
Schwellwertes der Abweichung meldet. 

4. Bussystem nach einem der vorangehenden Anspruche, da- 
35 durch gekennzeichnet, da£ in der Uberwachungs- 

einheit (U) fur jeden Slave (Si) eine Reaktionszeit als 
Schwellwert abgespeichert ist. 
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